9月24日 國際報道 據卡巴斯基實驗室發布的安全公告稱,一名安全研究人員發現,甲骨文的數據庫存在安全漏洞,黑客只需知道數據庫名稱和用戶名,就可通過非法手段侵入到甲骨文Oracle數據庫。
在阿根廷召開的一個安全會議上,安全公司AppSec的研究員Esteban Martinez Fayo演示了他的這一發現。該研究員稱,在短短的5小時之內,通過一臺普通PC并利用一個特殊工具,他就可以獲取簡易口令并訪問用戶數據。
Martinez Fayo稱,“這非常簡單,黑客者只需知道數據庫的一個有效的用戶名和名稱就能夠實施攻擊。”
Martinez Fayo稱他發現了甲骨文數據庫密碼驗證機制上的一處加密漏洞高,而該漏洞的存在導致攻擊者很容易實現對數據庫的破解。Martinez Fayo同時表示,黑客實施攻擊不需要使用“中間人攻擊”模式來進行偽裝,而使服務器直接會向黑客泄露重要信息。
Martinez Fayo稱他的團隊最初于2010年5月份將該漏洞通知了甲骨文公司,而且甲骨文在2011年對此進行了修復。但甲骨文并未修復當前的數據庫版本——11.1和11.2版本,這些版本的數據庫仍面臨攻擊威脅。但甲骨文最新發布的12版本修復了該問題。
其實這并非首次在甲骨文數據庫中發現安全漏洞。今年1月份,在發現了一處可導致黑客遠程入侵數據庫的安全漏洞后,甲骨文一次性為其數據庫軟件發布了78款安全補丁。剛剛在上個月,在甲骨文的最近發布的Java 7升級中還發現了一處新的安全漏洞。
Martinez Fayo表示,目前要想解決這一問題的變通方法,“在11.1中選擇禁用協議,或使用老版本,如V10g,這是防止數據庫遭受攻擊的有效途徑,而對于部署甲骨文數據庫的機構組織來說非常重要。”
推薦閱讀
這家中國光伏龍頭企業日前宣布收到來自紐交所的警告,因截至9月10日的連續30個交易日,公司收盤價連續低于1美元,不符合紐交所的上市規定。這意味著在此后6個月內(到明年3月份之前),尚德必須將股價恢復到高于1美元>>>詳細閱讀
本文標題:卡巴斯基公告:甲骨文數據庫存安全漏洞
地址:http://www.xglongwei.com/a/xie/20120201/115289.html
網友點評
精彩導讀
科技快報
品牌展示